• ISO27001:2013标准解析

2015-02-09

1. 信息安全管理体系ISO/IEC 270011.1. 管理体系及其产业链管理体系是组织用来保证其完成任务，事件目标的过程集的框架。在ISO 9000:2000中，将其定义为建立方针和目标并实现这些目标的体系。注:一个组织的管理体系可包括若干个不同的管理体系，如质量管理体系、财务管理体系或环境管理体系。一个典型的管理体系框架如下图所示:图1-1目前存在很多的管理体系，例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系，其他管理体系或多或少都借鉴了质量管理体系的经验。管理体系形成的完整的产业链，如图11所示.信息安全管理体系正如其名称所表述的含义，就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强调的是基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。图1231231.1. ISO/IEC 27000标准族1.1.1. ISO/IEC 27001发展历程ISO27000从诞生到现在只不过20年间的...